AWS CloudTrail‎

С помощью CloudTrail можно вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS. CloudTrail предоставляет историю аккаунта AWS, включая действия, выполненные с помощью Консоли управления AWS, SDK AWS, инструментов командной строки или других сервисов AWS. Такая история событий упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок. ВОЗМОЖНОСТИ: Всегда онлайн AWS CloudTrail включен на всех учетных записях AWS и регистрирует активность вашей учетной записи после ее создания. Вы можете просматривать и загружать последние 90 дней своей активности в учетной записи, чтобы создавать, изменять и удалять операции поддерживаемых служб без необходимости ручной настройки CloudTrail. История событий Вы можете просматривать, искать и загружать свои последние действия в учетной записи AWS. Это позволяет вам видеть изменения в ресурсах вашей учетной записи AWS, чтобы вы могли усилить процессы безопасности и упростить решение оперативных проблем. Конфигурация нескольких регионов Вы можете настроить AWS CloudTrail для доставки файлов журналов из нескольких регионов в одну корзину Amazon S3 для одной учетной записи. Конфигурация, которая применяется ко всем регионам, гарантирует, что все параметры применяются последовательно во всех существующих и вновь запущенных регионах. Проверка целостности файла журнала Вы можете проверить целостность файлов журналов AWS CloudTrail, хранящихся в вашей корзине Amazon S3, и определить, были ли файлы журналов неизменными, изменены или удалены с тех пор, как CloudTrail доставил их в вашу корзину Amazon S3. Вы можете использовать проверку целостности файла журнала в своих процессах ИТ-безопасности и аудита. Шифрование файла журнала По умолчанию AWS CloudTrail шифрует все файлы журналов, доставленные в указанное вами хранилище Amazon S3, с помощью шифрования на стороне сервера Amazon S3 (SSE). При желании можно добавить уровень безопасности в файлы журналов CloudTrail, зашифровав файлы журналов ключом AWS Key Management Service (AWS KMS). Amazon S3 автоматически расшифровывает ваши файлы журнала, если у вас есть разрешения на расшифровку. Данные события События данных обеспечивают понимание операций ресурса («плоскости данных»), выполняемых на самом ресурсе или внутри него. События данных часто являются действиями большого объема и включают в себя такие операции, как API уровня объекта Amazon S3 и API-функции вызова лямбда-функции AWS. Например, вы можете регистрировать действия API на объектах Amazon S3 и получать подробную информацию, такую ​​как учетная запись AWS, роль пользователя IAM и IP-адрес вызывающего абонента, время вызова API и другие сведения. Вы также можете записывать действия ваших функций Lambda и получать подробные сведения о выполнении функций Lambda, таких как пользователь IAM или служба, которая сделала вызов API Invoke, когда был выполнен вызов и какая функция была выполнена. Управление событиями События управления дают представление об операциях управления («плоскость управления»), выполняемых с ресурсами в вашей учетной записи AWS. Например, вы можете регистрировать административные действия, такие как создание, удаление и изменение экземпляров Amazon EC2. Для каждого события можно получить такие сведения, как учетная запись AWS, роль пользователя IAM и IP-адрес пользователя, который инициировал действие, время действия и какие ресурсы были затронуты.
Интеграции: AWS Lambda. Вы можете воспользоваться функцией уведомлений корзины Amazon S3, чтобы указывать Amazon S3 публиковать события, созданные объектами, в AWS Lambda. Когда CloudTrail записывает журналы в корзину S3, Amazon S3 может вызывать функцию Lambda для обработки записей доступа, зарегистрированных в CloudTrail. Amazon CloudWatch Logs. Интеграция AWS CloudTrail с Amazon CloudWatch Logs позволяет отправлять события управления и данных, записанные CloudTrail, в CloudWatch Logs. CloudWatch Logs позволяет создавать фильтры метрик для мониторинга событий, поиска событий и потоковой передачи событий в другие сервисы AWS, такие как AWS Lambda и Amazon Elasticsearch Service. Amazon CloudWatch Events. Интеграция AWS CloudTrail с Amazon CloudWatch Events позволяет автоматически реагировать на изменения ваших ресурсов AWS. С помощью событий CloudWatch вы можете определить действия, которые будут выполняться при регистрации определенных событий в AWS CloudTrail. Например, если CloudTrail регистрирует изменение в группе безопасности Amazon EC2, такое как добавление нового входного правила, вы можете создать правило CloudWatch Events, которое отправляет это действие в функцию AWS Lambda. Затем Lambda может выполнить рабочий процесс для создания заявки в вашей системе ИТ-поддержки.    ПРЕИМУЩЕСТВА: Соответствие требованиям без лишних усилий AWS CloudTrail помогает упростить аудит соответствия требованиям путем автоматической записи и хранения журналов событий для всех действий, выполненных в аккаунте AWS. Интеграция с Amazon CloudWatch Logs обеспечивает удобный способ поиска данных в журналах, идентификации событий, не соответствующих требованиям, ускоренного расследования причин сбоев и быстрого предоставления данных по запросам аудиторов. Наглядное представление действий пользователей и работы ресурсов AWS CloudTrail улучшает контроль за действиями пользователей и работой ресурсов путем записи всех действий в Консоли управления AWS и вызовов API. Вы можете определить, какие пользователи и аккаунты выполняли вызовы AWS, IP-адреса источников вызовов и время их совершения. Анализ безопасности, поиск и устранение неполадок С помощью AWS CloudTrail можно находить и устранять проблемы в сфере безопасности и операционные неполадки, сохраняя запись полной истории изменений, произошедших в аккаунте AWS в течение заданного периода времени. Автоматизация безопасности AWS CloudTrail позволяет отслеживать историю аккаунта и автоматически реагировать на действия, которые угрожают безопасности используемых ресурсов AWS. Используя интеграцию с Amazon CloudWatch Events, можно определить рабочие процессы, которые требуется запускать при обнаружении событий, способных привести к уязвимостям системы безопасности. Например, можно создать рабочий процесс, который будет добавлять определенную политику к корзине Amazon S3, когда CloudTrail обнаружит вызов API, открывающий публичный доступ к этой корзине.